Tworzę system wiadomość oparty na php - mysql i dotarłem do etapu tworzenia nowego użytkownika.
Z chwila gdy nowy użytkownik chce sie zarejestrować wprowadzone przez niego dane mam zamiar dodać do bazy danych 'News' , tabeli 'user' z wartością pola naproved='1'
Admin musi go zatwierdzić . Robi to z odpowiedniego panelu w którym wybiera mu wszystkich użytkowników którzy mają pole naproved ustawione na 1( SELECT ) i naciśnięciem guzika dodaje ich do listy uprawnionych, którzy mogą modyfikować , dodawać etc.
(CREATE i GRANT)
problem jest następujący , w tej samej bazie danych ('News') jest tabela 'wiad' z której to pobierane są wiadomości , i użytkownicy z odpowiednimi uprawnieniami mogą ją modyfikować etc.
Aby nowy użytkownik mógł się zarejestrować ,musiałbym sie podłączyć do bazy mysql używając konta z uprawnieniami do SELECT i INSERT.
Niebezpieczeństwo jest takie ze ktoś sciągnie plik .php i wyczyta dane dostępowe (lub w jakis inny sposób wejdzie w ich posiadanie). Będzie miał możliwość wstawiania wiadomości bez posiadania zatwierdzonego konta ( łącząc sie bezpośrednio z bazą i dodają ręcznie lub poprzez napisany przez siebie kod php )
czy ktoś mógłby podsunąć jakieś rozwiązanie ?
Bo jedyne rozwiązanie jakie mi sie podsuwa to druga oddzielna baza danych dla użytkowników i oddzielną dla wiadomości
